DE60009163T2 - Vorrichtung zur Überschreibung von Steuerinformationen - Google Patents

Vorrichtung zur Überschreibung von Steuerinformationen Download PDF

Info

Publication number
DE60009163T2
DE60009163T2 DE60009163T DE60009163T DE60009163T2 DE 60009163 T2 DE60009163 T2 DE 60009163T2 DE 60009163 T DE60009163 T DE 60009163T DE 60009163 T DE60009163 T DE 60009163T DE 60009163 T2 DE60009163 T2 DE 60009163T2
Authority
DE
Germany
Prior art keywords
rewrite
processing
information
rewriting
control center
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60009163T
Other languages
English (en)
Other versions
DE60009163D1 (de
Inventor
Takeshi Kariya-city Suganuma
Yoshimitsu Kariya-city Fujii
Minoru Kariya-city Hozuka
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Application granted granted Critical
Publication of DE60009163D1 publication Critical patent/DE60009163D1/de
Publication of DE60009163T2 publication Critical patent/DE60009163T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0426Programming the control sequence
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/313User authentication using a call-back technique via a telephone network
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23305Transfer program into prom with passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography

Description

  • Diese Erfindung betrifft ein elektronisches Steuerinformations-Umschreibesystem, das einen nichtflüchtigen Speicher aufweist, mit welchem ein elektrisches Umschreiben von Daten möglich ist, und betrifft insbesondere eine Technologie zum Verhindern des unzulässigen Umschreibens einer Steuerinformation, wie zum Beispiel von Fahrzeugsteuerprogrammen oder Steuerdaten, die in dem nichtflüchtigen Speicher gespeichert sind.
  • In elektronischen Steuereinheiten (ECUs) zum Steuern von Fahrzeugmotoren oder dergleichen ist eine Steuerinformation in einem nichtflüchtigen Speicher gespeichert, mit welchem ein elektrisches Umschreiben von Daten möglich ist. Die Steuerinformation beinhaltet Programme und Daten und ist auch nach Herstellung auf dem Markt umschreibbar.
  • Zum Beispiel ist diese Art einer ECU aufgebaut, wie es in 9 gezeigt ist. Eine Umschreibevorrichtung 200 ist über einen Fahrzeugdiagnoseverbinder 120 mit einem Fahrzeug 100 verbunden. Eine Mehrzahl von ECUs 101, 102, 103 und 104 ist in das Fahrzeug 100 eingebaut, und die ECUs 101 bis 104 sind mit einer Netzleitung 110 verbunden. Die Umschreibevorrichtung 200 führt eine Datenkommunikation mit einer der vier ECUs 101 bis 104 durch Senden jedes ECU-Codes auf der Grundlage einer Manipulation eines Bedieners durch.
  • In diesem System wählt die Umschreibevorrichtung 200, wie es in 10 gezeigt ist, zum Beispiel die ECU 101 aus, auf welcher ein Umschreiben einer Steuerinformation auszuführen ist, und sendet eine Umschreibeanforderung (b1). Die Auswahl der ECU 101 wird durch Senden eines ECU-Codes ausgeführt. Dieser ECU-Code wird durch einen Bediener in die Umschreibevorrichtung 200 eingegeben.
  • Wenn dies getan ist, erzeugt die ausgewählte ECU 101 eine Zufallszahl r (b2) und sendet diese Zufallszahl r zu der Umschreibevorrichtung 200 (b3).
  • Eine Funktion f wird vorab in der Umschreibevorrichtung 200 gespeichert, und diese berechnet einen Funktionswert f(r) bezüglich der gesendeten Zufallszahl r (b4). Dann sendet sie diese berechnete Funktion f(r) (b5). In der ECU 101 wird andererseits vorab eine Funktion F gespeichert und wird ein Funktionswert F(f(r)) bezüglich des gesendeten Funktionswert f(r) berechnet (b6). Dann sendet sie, wenn der berechnete F(f(r)) der Zufallszahl r entspricht, das heißt wenn f = F-1, ein Erlaubnissignal, das ein Umschreiben zuläßt (b7).
  • Die vorhergehende Verarbeitung ist für die ECU 101, um zu bestimmen, daß die Umschreibevorrichtung 200 berechtigt bzw. legitimiert ist, wenn die Umschreibevorrichtung 200 die Umkehrfunktion f der Funktion F aufweist, die von der ECU 101 gespeichert ist.
  • Die Umschreibevorrichtung 200 sendet Änderungsdaten, wenn sie das von der ECU 101 gesendete Erlaubnissignal empfängt (b8). Die ECU 101 führt ein Umschreiben einer Steuerinformation auf der Grundlage dieser Änderungsdaten aus (b10). Wenn das Umschreiben einer Steuerinformation normal endet, meldet die ECU eine normale Beendigung (b11), und die Umschreibevorrichtung empfängt die Meldung (b12) und eine Kette einer Umschreibeverarbeitung endet.
  • In der vorstehenden Umschreibeverarbeitung bestimmt jede ECU durch eine Kommunikationsverarbeitung (b1 bis b7) unter Verwendung der Funktion f, welche eine Information innerhalb der Umschreibevorrichtung 200 ist, die Berechtigung der Umschreibevorrichtung 200. Als Ergebnis kann ein unberechtigtes Umschreiben einer Steuerinforma tion nicht verhindert werden, wenn die Umschreibevorrichtung 200 selbst gestohlen wird oder eine Information innerhalb der Umschreibevorrichtung 200 gestohlen wird. Insbesondere ist zum Beispiel an einer Arbeitsstelle, wie zum Beispiel einem Autohändler, die Möglichkeit des vorgenannten Diebstahls verhältnismäßig hoch, da die Umschreibevorrichtung 200 vorgesehen ist.
  • Aus dem Stand der Technik ist ein elektronisches Steuergerät zur Steuerung des Betriebs eines Fahrzeugmotors wie etwa Zündzeitpunkt, Zündverweilzeit, Emissionsmengen, Kraftstoffbedarf und anderer Gesichtspunkte wie etwa des Getriebes und der Klimaanlage bekannt. Ein solches elektronisches Steuergerät ist programmiert, um zu einem bestimmten Fahrzeugtyp zu passen, in welches es eingebaut ist, so daß es das Fahrzeug in Übereinstimmung mit den individuellen Eigenschaften dieses Fahrzeugtyps steuert. Um ein Problem dahin, daß ein falsches Steuergerät (z. B. ein für einen anderen Fahrzeugtyp programmiertes Steuergerät) eingebaut wird, wenn das Steuergerät ausgetauscht wird, weil etwa während Betriebs des Fahrzeugs ein Problem mit dem Steuergerät aufgetreten ist, zu verhindern und um mit einem Problem dahin, daß eine große Anzahl von Steuergeräten gelagert werden müssen, um eine hinreichende Anzahl von Steuergerät für jeden unterschiedlichen Fahrzeugtyp zu haben, oder daß eine Reparaturwerkstatt eine lange Zeit braucht, um ein neues Steuergerät vom Hersteller zu bestellen, fertig zu werden, schlägt die US-A-5,473,540 ein elektronisches Steuergerät zum Steuern des Betriebs eines Fahrzeugs vor, das angepaßt ist, um in Übereinstimmung mit einer Steuerprozedur zu arbeiten und einen ersten Speicher, welcher eine Mehrzahl von Steuerprozeduren enthält, und einen zweiten Speicher, welcher einen oder mehrere Zeiger enthält, die angepaßt sind, um eine Steuerprozedur aus dem ersten Speicher auszuwählen, wodurch bewirkt wird, daß das Steuergerät in Übereinstimmung mit der gewählten Steuerroutine arbeitet, aufweist. In einem Gesichtspunkt dieser Druckschrift weist eine Programmiervorrichtung zum Programmieren eines in einem unprogrammierten oder teilweise programmierten Zustand in ein Fahrzeug eingebauten Steuergeräts eine Identifikationseinrichtung zum Identifizieren des Fahrzeugtyps, in welches das elektronische Steuergerät eingebaut ist, eine Erzeugungseinrichtung zum Erzeugen von für den identifizierten Fahrzeugtyp geeigneten Programmdaten zur Verwendung bei der Programmierung des elektronischen Steuergeräts und eine Übertragungseinrichtung zum Übertragen der erzeugten Programmdaten an einen Speicher des elektronischen Steuergeräts auf. In einem anderen Gesichtspunkt dieser Druckschrift ist eine Vorrichtung zur Bereitstellung eines ersatzweisen oder umprogrammierten elektronischen Steuergeräts in einem Fahrzeug vorgesehen, wobei das elektronische Steuergerät einen Speicher, in welchem sich speicherbare Programmdaten, auf welchen der Betrieb des elektronischen Steuergeräts basiert, befinden, wobei die Vorrichtung eine tragbare Programmiereinheit aufweist; einen Programmierspeicher, welcher eine Mehrzahl von unterschiedlichen Programmdaten enthält; eine Einrichtung zum Identifizieren des Fahrzeugtyps; eine Einrichtung zum Auswählen von für den identifizierten Fahrzeugtyp geeigneten Programmdaten aus dem Programmierspeicher; und eine Einrichtung zum Übertragen der ausgewählten Programmdaten an den Speicher des elektronischen Steuergeräts aufweist.
  • Es ist deshalb eine Aufgabe der vorliegenden Erfindung, ein unberechtigtes Umschreiben einer Steuerinformation auch dann zu verhindern, wenn eine Umschreibevorrichtung oder eine Information innerhalb einer Umschreibevorrichtung gestohlen wird. Die Aufgabe wird durch die Merkmale des unabhängigen Anspruchs gelöst.
  • Insbesondere wird eine Umschreibevorrichtung zum Umschreiben von in einer elektronischen Steuereinheit gespeicherten Steuerinformation während Kommunizierens mit einer externen Vorrichtung vorgesehen, wobei die Umschreibevorrichtung aufweist: eine Empfangseinrichtung zum Empfangen einer Umschreibegenehmigung von der externen Vorrichtung; eine Steuerinformationssendevorrichtung zum Erfassen der Steuerinformation von der externen Einrichtung nach Ausführen einer vorbestimmten Verarbeitung mit der elektronischen Steuereinheit in Reaktion auf die Umschreibegenehmigung zum Senden der Steuerinformation an die elektronische Steuereinheit; und eine Identifikationsinformationssendeeinrichtung zum Senden einer Identifikationsinformation der Umschreibevorrichtung an die externe Vorrichtung so, daß die externe Vorrichtung die Umschreibegenehmigung sendet, wenn die Identifikationsinformation passend ist.
  • Ein Steuerinformations-Umschreibesystem, welches nicht Teil der vorliegenden Erfindung bildet, weist eine Steuerzentrale zum Durchführen einer Datenkommunikation mit der Umschreibevorrichtung auf. Die Steuerzentrale könnte zum Beispiel an einem zu einer Umschreibearbeitsstelle unterschiedlichen Ort installiert sein. Eine Zugriffsinformation wird in der Steuerzentrale gespeichert. Eine Identifikationsinformation und eine zugehörige Information sind in der Umschreibevorrichtung gespeichert. Die Identifikationsinformation könnte eine Zahl oder dergleichen sein, die zum Identifizieren der Umschreibevorrichtung einmalig bezüglich der Umschreibevorrichtung ist. Die zugehörige Information ist eine Information, die in Verbindung mit der Identifikationsinformation festgelegt ist.
  • Für die Legitimitätsbestimmung erfaßt die Steuerzentrale die Identifikationsinformation und die zugehörige Information der Umschreibevorrichtung in einer Datenkommunikation mit der Umschreibevorrichtung. Dann sendet sie, wenn eine Zugehörigkeitsbeziehung der zugehörigen Information mit einer Zugehörigkeitsbeziehung übereinstimmt, eine vorbestimmte Zugriffsinformation an die Umschreibevorrichtung. Andererseits wird die vorbestimmte Zugriffsinformation nicht an die Umschreibevorrichtung gesendet, wenn sie nicht übereinstimmt.
  • Das heißt, das System erzielt die folgende zweistufige Überprüfung.
    • [1] Die Steuerzentrale bestimmt die Legitimität der Umschreibevorrichtung und sendet eine Zugriffsinformation an die Umschreibevorrichtung.
    • [2] Die Umschreibevorrichtung führt eine Kommunikationstartverarbeitung unter Verwendung dieser Zugriffsinformation aus, und jede elektronische Steuereinheit bestimmt die Legitimität der Umschreibevorrichtung auf der Grundlage der Kommunikationstartverarbeitung.
  • Daher kann die Umschreibevorrichtung, wenn mindestens eine der Identifikationsinformation und der zugehörigen Information nicht vorab innerhalb der Umschreibevorrichtung gespeichert ist, keine Zugriffsinformation von der Steuerzentrale erhalten. Deshalb wird es, wenn die Umschreibevorrichtung oder eine Information innerhalb der Umschreibevorrichtung gestohlen worden ist, von der elektronischen Steuereinheit nicht bestimmt, daß die Umschreibevorrichtung legitimiert ist. Daher wird ein Umschreiben einer Steuerinformation nicht ausgeführt. Als ein Ergebnis ist es auch dann, wenn die Umschreibevorrichtung oder eine Information innerhalb der Umschreibevorrichtung gestohlen worden ist, möglich, zu verhindern, daß eine Steuerinformation einer elektronischen Steuereinheit ungebührlich umgeschrieben wird.
  • Die vorstehenden und andere Aufgaben, Merkmale und Vorteile der vorliegenden Erfindung werden aus der folgenden detaillierten Beschreibung, die unter Bezugnahme auf die beiliegende Zeichnung vorgenommen wurde, deutlicher ersichtlich. In den Zeichnungen ist:
  • 1 ein Blockschaltbild, welches ein Steuerinformations-Umschreibesystem zeigt, welches die Umschreibevorrichtung gemäß der vorliegenden Erfindung enthält;
  • 2 ein Ablaufdiagramm, welches eine Umschreibeverarbeitung in dem Umschreibesystem zeigt;
  • 3 ein Flußdiagramm, welches eine erste Hälfte einer ECU-seitigen Verarbeitung in dem Umschreibesystem zeigt;
  • 4 ein Flußdiagramm, welches eine zweite Hälfte einer ECU-seitigen Verarbeitung in dem Umschreibesystem zeigt;
  • 5 ein Flußdiagramm, welches eine erste Hälfte einer umschreibevorrichtungsseitigen Verarbeitung in dem Umschreibesystem zeigt;
  • 6 ein Flußdiagramm, welches eine zweite Hälfte einer umschreibevorrichtungsseitigen Verarbeitung in dem Umschreibesystem zeigt;
  • 7 ein Flußdiagramm, welches eine erste Hälfte einer steuerzentralenseitigen Verarbeitung in dem Umschreibesystem zeigt;
  • 8 ein Flußdiagramm, welches eine zweite Hälfte einer steuerzentralenseitigen Verarbeitung in dem Umschreibesystem zeigt;
  • 9 ein Blockschaltbild, welches ein Steuerinformations-Umschreibesystem im Stand der Technik zeigt; und
  • 10 ein Ablaufdiagramm, welches eine Umschreibeverarbeitung im Stand der Technik zeigt.
  • Ein Ausführungsbeispiel der vorliegenden Erfindung wird nun in Bezug auf ein Umschreiben einer Fahrzeugsteuerinformation beschrieben.
  • Unter Bezugnahme zuerst auf 1 ist eine Mehrzahl von ECUs 11, 12, 13 und 14 in einem Fahrzeug 10 eingebaut, und die ECUs 11 bis 14 sind durch eine Netzwerkleitung 15 verbunden. Die ECUs 11 bis 14 weisen jeweilige EEPROMs 11a bis 14a auf, welche vom nichtflüchtigen Typ sind. Zu einem normalen Zeitpunkt wird, wenn eine Umschreibevorrichtung 20 nicht verbunden ist, auf der Grundlage einer Steuerinformation (von Steuerprogrammen und Steuerdaten), die in diesem EEPROM gespeichert sind, eine Kommunikation zwischen den ECUs 11 bis 14 über die Netzwerkleitung ausgeführt und werden jeweilige Steueurobjekte, wie zum Beispiel ein Motor bzw. eine Brennkraftmaschine, gesteuert.
  • In 1 ist die Umschreibevorrichtung 20 als mittels eines Fahrzeugdiagnoseverbinders 16 mit der ECU 11 verbunden gezeigt, so daß ein Steuerinformations-Umschreibesystem 1 ausgebildet ist. Der Fahrzeugdiagnoseverbinder 16 ist ein in dem Fahrzeug 10 vorgesehener Verbinder zum Ermöglichen einer Datenkommunikation zwi schen der Umschreibevorrichtung 20 und den ECUs 11 bis 14 über die Netzwerkleitung 15. Das Fahrzeug 10 und die Umschreibevorrichtung 20 sind an einer Arbeitsstelle, wie zum Beispiel einem Autohändler oder einer Reparaturwerkstatt, aufgestellt.
  • In dem Steuerinformations-Umschreibesystem 1 dieses Ausführungsbeispiels ist die Umschreibevorrichtung 20 zu einer Datenkommunikation über ein Telefonleitungsnetz 40 mit einer Steuerzentrale 30 imstande. Die Steuerzentrale 30 ist als ein sogenannter Server als eine externe Vorrichtung an einer zu der Arbeitsstelle unterschiedlichen Stelle installiert. In einer Speichervorrichtung (einem Speicher) 31 dieser Steuerzentrale 30 sind eine Zugriffsinformation für die Umschreibevorrichtung 20, um auf die ECUs 11–14 zuzugreifen, Änderungsdaten zum Umschreiben einer Steuerinformation, eine Datenbank zum Bestimmen der Legitimität der Umschreibevorrichtung 20 und eine Datenbank von Steuerinformations-Aktualisierungshistorien von unterschiedlichen Fahrzeugen 10 gespeichert.
  • Wenn die Umschreibevorrichtung 20 die Steuerzentrale 30 ruft, wird eine vorbestimmte Kommunikationsverarbeitung zwischen der Umschreibevorrichtung 20 und der Steuerzentrale 30 ausgeführt. Die Umschreibevorrichtung 20 und die Steuerzentrale 30 nehmen einen derartigen Zustand an, daß eine Datenkommunikation möglich ist. In 1 ist die Steuerzentrale 30 als mit einer einzigen Umschreibevorrichtung verbunden gezeigt, aber es ist ebenso vorstellbar, daß zum Beispiel eine Umschreibevorrichtung einer anderen Arbeitsstelle parallel mit der Steuerzentrale 30 verbunden ist.
  • In diesem Ausführungsbeispiel kann die Umschreibevorrichtung 20 ein tragbarer Personal-Computer sein, welcher für beliebige Typen von Fahrzeugen verwendet wird. Die Steuerzentrale 30 kann durch einen Autohersteller verwaltet werden. Die Umschreibevorrichtung 20 kann mittels einer anderen Einrichtung, wie zum Beispiel einem Kabelfernsehnetz oder einem drahtlosen Telefonnetz, anstelle eines Festtelefonleitungsnetzes 40 mit der Steuerzentrale 30 verbunden sein.
  • Die Funktionsweise dieses Steuerinformations-Umschreibesystems 1 ist in Blockeinheiten B1 bis B18 gezeigt. Die Verarbeitung in den ECUs 11 bis 14 ist als eine ECU-seitige Verarbeitung in einer linksseitigen Spalte in 2 als B5, B6, B9, B10, B15 und B16 gezeigt. Die Verarbeitung in der Umschreibevorrichtung 20 ist als umschreibevorrichtungsseitige Verarbeitung in einer mittleren Spalte als B1, B4, B7, B8, B11, B14 und B17 gezeigt. Die Verarbeitung in der Steuerzentrale 30 ist als steuerzentralenseitige Verarbeitung in einer rechtsseitigen Spalte als B2, B3, B12, B13 und B18 gezeigt. Diese Verarbeitung wird in der Reihenfolge B1 → B2 → B3 → ... → B18 ausgeführt.
  • Im Betrieb ruft die Umschreibevorrichtung 20 zuerst die Steuerzentrale 30. Wenn ein Zustand einer möglichen Datenkommunikation zwischen der Umschreibevorrichtung 20 und der Steuerzentrale 30 gebildet ist, sendet die Umschreibevorrichtung 20 eine Kennungsinformation als eine Identifikationsinformation zum Identifizieren der Umschreibevorrichtung 20 selbst zusammen mit einer Kommunikationsstartanforderung an die Steuerzentrale 30 (B1). Bezüglich diesen empfängt die Steuerzentrale 30 die Kennungsinformation von der Umschreibevorrichtung 20 und erfaßt die Telefonnummer des ankommenden Anrufs, das heißt die Telefonnummer der Umschreibevorrichtung 20 (B2). Diese Telefonnummer ist eine zugehörige Information.
  • Die Steuerzentrale 30 weist eine Datenbank auf, in welcher die Kennungsinformation der Umschreibevorrichtung 20 und eine Telefonnummer, die der Umschreibevorrichtung 20 zugehörig ist, in Zusammenhang gebracht werden. Demgemäß vergleicht die Steuerzentrale 30 die Zugehörigkeitsbeziehung zwischen der empfangenen Kennungsinformation und der erfaßten Telefonnummer mit einer Zugehörigkeitsbeziehung in der Datenbank (B2). Wenn sie übereinstimmen, sendet sie ein erstes Erlaubnissignal und eine Funktion f an die Umschreibevorrichtung 20 (B3).
  • Die Umschreibevorrichtung 20 wählt aus den ECUs 11 bis 14 eine ECU als das Objekt einer Steuerinformationsumschreibung aus und sendet eine Umschreibeanforderung an diese ECU (B4). Es wird hier angenommen, daß die ECU 11 als die ECU, die das Objekt einer Steuerinformationsumschreibung sein soll, ausgewählt worden ist. Die ausgewählte ECU 11 erzeugt eine Zufallszahl r (B5) und sendet diese Zufallszahl r an die Umschreibevorrichtung 20 (B6).
  • Die Umschreibevorrichtung 20 berechnet unter Verwendung der Funktion f, die von der Steuerzentrale in dem vorstehenden B3 an sie gesendet worden ist, einen Funktionswert f(r) bezüglich der Zufallszahl r aus der ECU 11 (B7). Dann sendet sie diesen berechneten Funktionswert f(r) zurück an die ECU 11 (B8).
  • Andererseits wird vorab eine Funktion F in der ECU 11 gespeichert, und sie berechnet bezüglich des Funktionswerts f(r), der von der Umschreibevorrichtung 20 aus gesendet wird, einen Funktionswert F(f(r)) (B9). Dann sendet sie, wenn der berechnete Funktionswert F(f(r)) der Zufallszahl r entspricht, das heißt, wenn f = F–1 ist, ein zweites Erlaubnissignal, das ein Umschreiben zuläßt, und sendet einen Fahrzeug-VIN-Code (B10). Der Fahrzeug-VIN-Code ist eine Zahl, die eindeutig jedem Fahrzeug zu geordnet ist, und diese entspricht der vorstehenden Fahrzeuginformation.
  • Die Umschreibevorrichtung 20 empfängt das zweite Erlaubnissignal und den Fahrzeug-VIN-Code von der ECU 11 und sendet diese Information an die Steuerzentrale 30 (B11).
  • Die Steuerzentrale 30 weist jeweilige Steuerinformations-Aktualisierungshistorien jedes Fahrzeugs als eine Datenbank auf. Demgemäß führt sie auf der Grundlage des Fahrzeug-VIN-Codes von der Umschreibevorrichtung 20 ein Unterscheiden des Fahrzeugs 10 aus, bezieht sich auf die Aktualisierungshistoriendatenbank und bestimmt die Notwendigkeit eines Umschreibens einer Steuerinformation (B12). Wenn sie bestimmt, daß ein Umschreiben einer Steuerinformation an dem Fahrzeug 10 erforderlich ist, sendet sie Änderungsdaten an die Umschreibevorrichtung 20 (B13).
  • Die Umschreibevorrichtung 20 empfängt die Änderungsdaten von der Steuerzentrale 30 und sendet diese Änderungsdaten an die ECU 11 (B14). Die ECU 11 führt auf der Grundlage der Änderungsdaten von der Umschreibevorrichtung 20 ein Umschreiben einer Steuerinformation durch (B15). Dann meldet sie, wenn das Umschreiben einer Steuerinformation normal endet, eine normale Beendigung an die Umschreibevorrichtung 20 (B16). Die Umschreibevorrichtung 20 löscht, wenn eine normale Beendigung von der ECU 11 gemeldet wird, die Funktion f, die in dem vorhergehenden B3 von der Steuerzentrale 30 an sie gesendet worden ist (B17). Sie meldet eine normale Beendigung an die Steuerzentrale 30. Auf der Grundlage dessen aktualisiert die Steuerzentrale 30 die Aktualisierungshistoriendatenbank (B18).
  • Vom Standpunkt der Sicherheit aus ist es bevorzugt, daß die Funktionen f(r) und F(f(r)) von Fahrzeugtyp zu Fahrzeugtyp verschieden sind.
  • Für die vorstehende Verarbeitung werden die ECUs 11 bis 14, die Umschreibevorrichtung 20 und die Steuerzentrale 30 programmiert, um zu arbeiten, wie es in den 3 bis 8 gezeigt ist.
  • Die ECU-seitige Verarbeitung, die in den ECUs 11 bis 14 ausgeführt wird, wird unter Bezugnahme auf die 2 und 3 erläutert. Diese ECU-seitige Verarbeitung wird in einem vorbestimmten Zeitintervall, wie zum Beispiel 0,2 Sekunden, ausgeführt, wobei die Umschreibevorrichtung 20 mittels des Fahrzeugdiagnoseverbinders 16 mit dem Fahrzeug 10 verbunden ist.
  • Zuerst wird in einem Schritt S300 bestimmt, ob es eine Umschreibeanforderung von der Umschreibevorrichtung 20 gegeben hat oder nicht. Wenn bestimmt wird, daß es eine Umschreibeanforderung gegeben hat (S300: JA) schreitet die Verarbeitung zu S310 fort. Wenn andererseits bestimmt wird, daß es keine Umschreibeanforderung gegeben hat (S300: NEIN), wird die ECU-seitige Verarbeitung beendet.
  • In S310 wird bestimmt, ob ein Zugriffsverweigerungszeitgeber 0 ist oder nicht. Der Zugriffsverweigerungszeitgeber wird eingestellt, wenn eine vorbestimmte Anzahl von Malen bestimmt wird, daß in Folge die Umschreibevorrichtung 20 nicht legitimiert ist, wie es vorstehend beschrieben worden ist. Wenn bestimmt wird, daß der Zugriffsverweigerungszeitgeber nicht 0 ist (S310: NEIN), wird der Zeitgeber in S320 dekrementiert und wird einer Variable C1 0 zugewiesen und wird diese ECU-seitige Verarbeitung beendet. Die Variable C1 zählt die Anzahl von Malen in Folge, in welchen bestimmt wird, daß die Um schreibevorrichtung nicht legitimiert ist. Wenn andererseits bestimmt wird, daß der Zugriffsverweigerungszeitgeber 0 ist (S310: JA), schreitet die Verarbeitung zu S330 fort.
  • In S330 wird bestimmt, ob die Variable C1 größer als 2 ist oder nicht. Wenn hier C1 > 2 ist (S330: NEIN), wird in S340 der Zugriffsverweigerungszeitgeber eingestellt und wird diese ECU-seitige Verarbeitung beendet. In diesem Ausführungsbeispiel werden 10 Minuten eingestellt. Wenn andererseits C1 ≤ 2 ist (S330: JA), schreitet die Verarbeitung zu S350 fort.
  • In S350 wird eine Zufallszahl r erzeugt und an die Umschreibevorrichtung 20 gesendet. Diese Verarbeitung entspricht der Verarbeitung von B5 und B6 in 2. Bezüglich diesen wird, wie es in B8 in 2 gezeigt ist, ein Funktionswert f(r) von der Umschreibevorrichtung 20 ausgesendet.
  • Demgemäß wird in dem folgenden S360 bestimmt, ob es ein Senden eines Funktionswerts f(r) gegeben hat oder nicht. Wenn es hier ein Senden eines Funktionswerts f(r) gegeben hat (S360: JA) schreitet die Verarbeitung zu S370 fort. Andererseits wird, solange es kein Senden eines Funktionswerts f(r) gegeben hat (S360: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • In S370 wird bezüglich des Funktionswerts f(r), der von der Umschreibevorrichtung 20 ausgesendet wird, ein Funktionswert F(f(r)) berechnet. Diese Verarbeitung entspricht der Verarbeitung von B9 in 2.
  • In dem folgenden S380 in 4 wird bestimmt, ob der berechnete Funktionswert F(f(r)) der Zufallszahl r entspricht oder nicht. Wenn hier F(f(r)) = r ist (S380: JA), werden in S30 das zweite Erlaubnissignal und der Fahrzeug-VIN-Code gesendet und schreitet die Verarbeitung zu S420 fort. Die Verarbeitung von S380 und S390 entspricht der Verarbeitung von B10 in 2. Wenn andererseits F(f(r)) ≠ r ist (S380: NEIN), wird in S400 an die Umschreibevorrichtung 20 gemeldet, daß kein Umschreiben zugelassen wird, und wird in S410 die Variable C1 inkrementiert und diese ECU-seitige Verarbeitung beendet. Auf diese Weise wird die Legitimität der Umschreibevorrichtung 20 bestimmt. Wenn bestimmt wird, daß sie nicht legitimiert ist (S380: NEIN), wird die Variable C1 inkrementiert (S410) und wird bei C1 > 2 der Zeitgeber eingestellt, wie es vorstehend beschrieben worden ist (S340 in 2). Daher wird in diesem Ausführungsbeispiel, wenn durch C1 0 → 1 → 2 dreimal in Folge bestimmt wird, daß die Umschreibevorrichtung 20 nicht legitimiert ist, eine Zugriffsverweigerung ausgeführt.
  • Durch die Steuerzentrale 30 wird eine Bestimmung einer Notwendigkeit eines Umschreibens einer Steuerinformation auf der Grundlage des Fahrzeug-VIN-Codes ausgeführt. Wenn ein Umschreiben notwendig ist, werden Änderungsdaten von der Steuerzentrale 30 aus über die Umschreibevorrichtung 20 gesendet. Andererseits wird, wenn ein Umschreiben nicht notwendig ist, das heißt, wenn ein Umschreiben einer Steuerinformation bereits ausgeführt worden ist, eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden ist, von der Steuerzentrale 30 aus über die Umschreibevorrichtung 20 gesendet.
  • Dafür wird in S420 bestimmt, ob es eine Datenübertragung von der Umschreibevorrichtung 20 aus gegeben hat oder nicht. Wenn bestimmt wird, daß es eine Datenübertragung gegeben hat (S420: JA), schreitet die Verarbeitung zu S430 fort. Andererseits wird, solange es keine Daten übertragung gibt (S420: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • Dann wird in S430 bestimmt, ob die Daten, die von der Umschreibevorrichtung 20 aus gesendet worden sind, Änderungsdaten sind oder nicht. Wenn bestimmt wird, daß es Änderungsdaten sind (S430: JA), schreitet eine Verarbeitung zu S440 fort. Wenn andererseits bestimmt wird, daß es keine Änderungsdaten sind (S430: NEIN), das heißt, wenn eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden ist, gesendet worden ist, wird die nachfolgende Verarbeitung nicht ausgeführt und wird diese ECU-seitige Verarbeitung beendet.
  • In S440 wird auf der Grundlage der gesendeten Änderungsdaten ein Umschreiben einer Steuerinformation ausgeführt. In dem folgenden S450 wird eine Steuerinformations-Prüfsumme nach Umschreibung berechnet. Dies dient zum Bestimmen, ob die Steuerinformation normal umgeschrieben worden ist oder nicht.
  • Dann wird in dem nächsten S460 auf der Grundlage der Prüfsumme, die in S450 berechnet worden ist, bestimmt, ob das Umschreiben einer Steuerinformation normal geendet hat oder nicht. Wenn bestimmt wird, daß es normal geendet hat (S460: JA) wird in S470 eine normale Beendigung an die Umschreibevorrichtung 20 gemeldet und wird danach diese ECU-seitige Verarbeitung beendet. Wenn andererseits bestimmt wird, daß sie nicht normal geendet hat (S460: NEIN), wird in S480 angefordert, daß die Umschreibevorrichtung 20 die Änderungsdaten erneut sendet und wird die Verarbeitung von S420 wiederholt.
  • Nun wird auf der Grundlage des Flußdiagramms in 5 und 6 die umschreibevorrichtungsseitige Verarbeitung beschrieben, die von der Umschreibevorrichtung 20 ausgeführt wird. Diese umschreibevorrichtungsseitige Verarbeitung wird mit einer vorbestimmten Manipulation, die von einem Bediener ausgeführt wird, als einem Auslöser ausgeführt, nachdem ein Zustand einer möglichen Datenkommunikation zwischen der Umschreibevorrichtung 20 und der Steuerzentrale 30 gebildet worden ist.
  • Zuerst wird in S500 bezüglich der Steuerzentrale 30 ein Kommunikationsstart angefordert und wird eine vorab gespeicherte Kennungsinformation gesendet. Diese Verarbeitung entspricht der Verarbeitung von B1 in 2.
  • Die Steuerzentrale 30 sendet, wenn sie bestimmt, daß die Umschreibevorrichtung eine legitimierte ist, das erste Erlaubnissignal und die Funktion f. Demgemäß wird in dem folgenden S510 bestimmt, ob es eine Reaktion von der Steuerzentrale 30 gegeben hat oder nicht. Wenn bestimmt wird, daß es eine Reaktion von der Steuerzentrale 30 gegeben hat (S510: JA), schreitet die Verarbeitung zu S520 fort. Andererseits wird, solange es keine Reaktion von der Steuerzentrale 30 gibt (S510: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • In S520 wird bestimmt, ob die Reaktion von der Steuerzentrale 30 eine Meldung einer Nicht-Erlaubnis ist oder nicht. Wenn es bestimmt wird, daß es eine Meldung einer Nicht-Erlaubnis ist (S520: JA), wird in S530 auf einer Anzeigevorrichtung, wie zum Beispiel einer Anzeige, angezeigt, daß es einen Fehlschlag gegeben hat, auf die Steuerzentrale 30 zuzugreifen. Danach wird die Verarbeitung von S500 wiederholt. Andererseits schreitet, wenn es keine Meldung einer Nicht-Erlaubnis gibt (S530: NEIN), das heißt, wenn das erste Erlaubnissignal und die Funktion f gesendet worden sind, die Verarbeitung zu S540 fort.
  • In S540 wird die Eingabe eines ECU-Codes zum Auswählen einer der vier ECUs 11 bis 14, die in das Fahrzeug 10 eingebaut sind, von dem Bediener angefordert. In dem folgenden S550 wird bestimmt, ob es die Eingabe eines ECU-Codes gegeben hat oder nicht. Wenn es bestimmt wird, daß es die Eingabe eines ECU-Codes gegeben hat (S550: JA), schreitet die Verarbeitung zu S560 fort. Andererseits wird, solange es keine Eingabe eines ECU-Codes gibt (S550: NEIN), die Verarbeitung von S540 wiederholt. Die folgende Beschreibung wird unter der Annahme fortgesetzt, daß der ECU-Code der ECU 11 eingegeben worden ist.
  • In S560 werden eine Umschreibeanforderung und der ECU-Code gesendet. Diese Verarbeitung entspricht der Verarbeitung von B4 in 2. Auf der Grundlage dessen erzeugt die ECU 11 eine Zufallszahl r und sendet diese Zufallszahl r (S350 in 3).
  • Demgemäß wird in dem folgenden Schritt S570 bestimmt, ob eine Zufallszahl r gesendet worden ist oder nicht. Wenn bestimmt wird, daß eine Zufallszahl r gesendet worden ist (S570: JA), schreitet eine Verarbeitung zu S580 fort. Andererseits wird, solange keine Zufallszahl r gesendet wird (S570: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • In S580 wird unter Verwendung der Funktion f, die von der Steuerzentrale 30 in S510 gesendet wird, ein Funktionswert f(r) berechnet, der für die Zufallszahl r spezifisch ist. In dem nächsten S590 wird der Funktionswert f(r) zu der ECU 11 gesendet. Dies entspricht der Verarbeitung von B7 und B8 in 2.
  • Bezüglich diesen wird in der ECU 11 eine bejahende Bestimmung in S360 in 3 durchgeführt und wird der Funktionswert F(f(r)) berechnet (S370). Dann wird auf der Grundlage der Bestimmung von S380 eine Übertragung eines zweiten Erlaubnissignals oder eine Meldung, daß ein Umschreiben nicht zugelassen wird, ausgeführt (S390, S400).
  • Demgemäß wird in dem folgenden S600 in 6 bestimmt, ob es eine Reaktion von der ECU 11 gegeben hat oder nicht. Wenn bestimmt wird, daß es eine Reaktion von der ECU 11 gegeben hat (S600: JA) schreitet eine Verarbeitung zu S610 fort. Andererseits wird, solange es keine Reaktion von der ECU 11 gibt (S600: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • In S610 wird bestimmt, ob ein zweites Erlaubnissignal von der ECU 11 gesendet worden ist oder nicht. Wenn bestimmt wird, daß ein zweites Erlaubnissignal gesendet worden ist (S610: JA), werden in S620 das zweite Erlaubnissignal und der zusammen mit diesem zweiten Erlaubnissignal übertragene Fahrzeug-VIN-Code an die Steuerzentrale 30 gesendet, und danach schreitet die Verarbeitung zu S640 fort. Diese Verarbeitung entspricht der Verarbeitung von B11 in 2. Wenn andererseits ein zweites Erlaubnissignal nicht gesendet worden ist (S610: NEIN), das heißt, wenn von der ECU 11 gemeldet worden ist, daß ein Umschreiben nicht zugelassen werden wird, wird in S630 an die Steuerzentrale 30 gemeldet, daß keine Erlaubnis gegeben worden ist, und danach schreitet die Verarbeitung zu 5530 in 5 fort.
  • Wenn in S620 das zweite Erlaubnissignal und der Fahrzeug-VIN-Code an die Steuerzentrale 30 gesendet werden, bestimmt die Steuerzentrale 30 die Notwendigkeit eines Umschreibens. Wenn es eine Notwendigkeit eines Umschreibens gibt, sendet die Steuerzentrale 30 Änderungsdaten. Wenn es andererseits keine Notwendigkeit eines Umschreibens gibt, sendet die Steuerzentrale 30 eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden ist.
  • Demgemäß wird in S640 bestimmt, ob es eine Reaktion von der Steuerzentrale 30 gegeben hat oder nicht. Wenn bestimmt wird, daß es eine Reaktion von der Steuerzentrale 30 gegeben hat (S640: JA), schreitet die Verarbeitung zu S650 fort. Andererseits wird, solange es keine Reaktion gibt (S640: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • In S650 wird bestimmt, ob die Daten, die von der Steuerzentrale 30 gesendet worden sind, Änderungsdaten sind oder nicht. Wenn sie Änderungsdaten sind (S650: JA), schreitet die Verarbeitung zu S680 fort. Wenn es andererseits keine Steuerdaten sind (S650: NEIN), das heißt wenn eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden ist, von der Steuerzentrale 30 gesendet worden ist, wird die Funktion f gelöscht und es wird angezeigt, daß es keine Notwendigkeit eines Umschreibens gibt (S660). Eine Information, die anzeigt, daß das Umschreiben durchgeführt worden ist, wird an die ECU 11 gesendet (S670). Diese Umschreibevorrichtungsseitige Verarbeitung ist dann beendet.
  • In S680 werden die Änderungsdaten, die von der Steuerzentrale 30 gesendet worden sind, an die ECU 11 gesendet. Diese Verarbeitung entspricht der Verarbeitung von B14 in 2. Auf der Grundlage dessen wird in der ECU 11 ein Umschreiben einer Steuerinformation ausgeführt (S430 in 4: JA, S440) und wird eine Meldung einer normalen Beendigung oder eine Anforderung eines erneuten Sendens von der ECU 11 gesendet (S470, S480).
  • Demgemäß wird in dem nächsten S690 bestimmt, ob es eine Meldung einer normalen Beendigung von der ECU 11 gegeben hat oder nicht. Wenn bestimmt wird, daß es eine Meldung einer normalen Beendigung gegeben hat (S690: JA), wird die Funktion f gelöscht und wird eine normale Beendigung an die Steuerzentrale 30 gemeldet (S700), und danach wird diese umschreibevorrichtungsseitige Verarbeitung beendet. Wenn es andererseits keine Meldung einer normalen Beendigung gegeben hat (S690: NEIN), das heißt wenn es eine Anforderung nach einem erneuten Senden der Änderungsdaten gegeben hat, wird eine anomale Beendigung zu der Steuerzentrale 30 gemeldet (S710) und diese umschreibevorrichtungsseitige Verarbeitung beendet.
  • Weiter fortschreitend wird auf der Grundlage des Flußdiagramms in 7 und 8 die steuerzentralenseitige Verarbeitung, die von der Steuerzentrale 30 ausgeführt wird, beschrieben. Diese steuerzentralenseitige Verarbeitung wird in einem vorbestimmten Zeitintervall, wie zum Beispiel 0,2 Sekunden, ausgeführt, wobei ein Zustand einer möglichen Datenkommunikation zwischen der Umschreibevorrichtung 20 und der Steuerzentrale 30 gebildet worden ist.
  • Zuerst wird in S800 bestimmt, ob der Zugriffsverweigerungszeitgeber 0 ist oder nicht. Der Zugriffsverweigerungszeitgeber wird eingestellt, wenn eine bestimmte Anzahl von Malen in Folge durch die Steuerzentrale 30 bestimmt wird, daß die Umschreibevorrichtung 20 nicht legitimiert ist, wie es später weiter beschrieben wird. Wenn bestimmt wird, daß der Zugriffsverweigerungszeitgeber nicht 0 ist (S800: NEIN), wird in S810 der Zeitgeber dekrementiert. Weiterhin wird 0 einer Variablen C2 zugewiesen und diese steuerzentralenseitige Verarbeitung beendet. Die Variable C2 zählt die Anzahl von Malen in Folge, in welchen durch die Steuerzentrale 30 bestimmt wird, daß die Umschreibevorrichtung 20 nicht legitimiert ist. Wenn andererseits bestimmt wird, daß der Zugriffsverweigerungszeitgeber 0 ist (S800: JA), schreitet die Verarbeitung zu S820 fort.
  • In S820 wird bestimmt, ob die Variable C2 nicht größer als 2 ist oder nicht. Wenn hier C2 > 2 ist (S820: NEIN), wird in S830 der Zugriffsverweigerungszeitgeber eingestellt und danach diese steuerzentralenseitige Verarbeitung beendet. Wenn andererseits C2 < 2 ist (S820: JA), schreitet die Verarbeitung zu S840 fort.
  • In S840 wird bestimmt, ob es eine Kommunikationsstartanforderung gegeben hat oder nicht. Diese Verarbeitung ist auf die Verarbeitung von S500 in 5 gerichtet. Wenn bestimmt wird, daß es eine Kommunikationsstartanforderung gegeben hat (S840: JA) schreitet die Verarbeitung zu S850 fort. Andererseits wird, solange es keine Kommunikationsstartanforderung gibt (S840: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • In S850 wird die Kennungsinformation, die von der Umschreibevorrichtung 20 gesendet wird, empfangen und wird die Telefonnummer des Ursprungs des Anrufs erfaßt. In dem folgenden S860 wird die Zugehörigkeitsbeziehung zwischen der empfangenen Kennungsinformation und der erfaßten Telefonnummer mit der Zugehörigkeitsbeziehung zwischen der Kennungsinformation und der Telefonnummer der Umschreibevorrichtung 20 verglichen, die vorab in der Datenbank gespeichert werden. Die Verarbeitung von diesen S850 und S860 entspricht der Verarbeitung, die in B2 in 2 gezeigt ist.
  • Als nächstes wird in dem nächsten S870 auf der Grundlage des Vergleichsergebnisses bestimmt, ob die Zugehörigkeitsbeziehungen übereingestimmt haben oder nicht. Wenn bestimmt wird, daß sie übereinstimmen (S870: JA), werden in S890 das erste Erlaubnissignal und die Funktion f gesendet und schreitet danach die Verarbeitung zu S900 fort. Diese Verarbeitung entspricht der Verarbeitung von B3 in 2. Wenn andererseits bestimmt wird, daß sie nicht übereingestimmt haben (S870: NEIN), wird an die Umschreibevorrichtung 20 gemeldet, daß kein Umschreiben zugelassen wird, und wird die Variable C2 erhöht (S880) und wird danach die Verarbeitung von S800 wiederholt.
  • Die Verarbeitung von S850 bis S890, die hier erläutert worden ist, entspricht der Verarbeitung, die als eine Legitimitätsbestimmungseinrichtung dient. Deshalb führt die CPU der Steuerzentrale 30 so eine Legitimitätsbestimmung aus.
  • Wenn das erste Erlaubnissignal und die Funktion f gesendet werden, sendet die Umschreibevorrichtung 20 das zweite Erlaubnissignal und den Fahrzeug-VIN-Code zurück (S620 in 6) oder meldet eine Nicht-Erlaubnis eines Umschreibens (S630).
  • Demgemäß wird in S900 bestimmt, ob es eine Reaktion von der Umschreibevorrichtung 20 gegeben hat oder nicht. Wenn bestimmt wird, daß es eine Reaktion von der Umschreibevorrichtung 20 gegeben hat (S900: JA), schreitet die Verarbeitung zu S910 in 8 fort. Andererseits wird, solange es keine Reaktion von der Umschreibevorrichtung 20 gibt (S900: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • In S910 wird bestimmt, ob eine Reaktion eine Meldung einer Nicht-Erlaubnis ist oder nicht. Wenn es eine Meldung einer Nicht-Erlaubnis gewesen ist (S910: JA), schreitet die Verarbeitung zu S800 in 7 fort. Wenn es andererseits keine Meldung einer Nicht-Erlaubnis gewesen ist (S910: NEIN), das heißt wenn das zweite Erlaubnissignal und der Fahrzeug-VIN-Code gesendet worden sind, schreitet die Verarbeitung zu S920 fort.
  • In S920 wird eine Unterscheidung des Fahrzeugs auf der Grundlage des gesendeten Fahrzeug-VIN-Codes durchgeführt und wird auf die Aktualisierungshistoriendatenbank Bezug genommen. Dann wird im nächsten S930 auf der Grundlage des Bezugsergebnisses bestimmt, ob es eine Notwendigkeit zum Umschreiben einer Steuerinformation gibt oder nicht. Die Verarbeitung von diesen S920 und S930 entspricht B12 in 2. Wenn bestimmt wird, daß es eine Notwendigkeit eines Umschreibens gibt (S930: JA), schreitet die Verarbeitung zu S950 fort. Wenn andererseits bestimmt wird, daß es keine Notwendigkeit eines Umschreibens gibt (S930: NEIN), wird in S940 eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden ist, gesendet, und danach wird diese steuerzentralenseitige Verarbeitung beendet.
  • In S950 wird nach Änderungsdaten gesucht und werden diese ausgelesen und werden die ausgelesenen Änderungsdaten an die Umschreibevorrichtung 20 gesendet. Diese Verarbeitung entspricht der Verarbeitung von B13 in 2. Danach gibt es von der Umschreibevorrichtung 20, wie es zuvor beschrieben worden ist, eine Meldung einer normalen Beendigung (S700 in 6) oder eine Meldung einer anomalen Beendigung (S710).
  • Demgemäß wird in S960 bestimmt, ob es eine Beendigungsmeldung von der Umschreibevorrichtung 20 gegeben hat oder nicht. Wenn bestimmt wird, daß es eine Beendigungsmeldung gegeben hat (S960: JA), schreitet die Verarbeitung zu S970 fort. Andererseits wird, solange es keine Beendigungsmeldung gibt (S960: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • In S970 wird bestimmt, ob die Beendigungsmeldung eine Meldung einer normalen Beendigung ist oder nicht. Wenn bestimmt wird, daß sie eine Meldung einer normalen Been digung ist (S970: JA), wird in S980 die Aktualisierungshistoriendatenbank aktualisiert und danach diese steuerzentralenseitige Verarbeitung beendet. Andererseits wird, wenn bestimmt wird, daß sie keine Meldung einer normalen Beendigung ist (S970: NEIN), das heißt wenn sie eine Meldung einer anomalen Beendigung gewesen ist, die Verarbeitung von S950 wiederholt.
  • Gemäß dem vorstehenden Ausführungsbeispiel wird die Funktion f, die eine Zugriffsinformation bildet, in der Steuerzentrale 30 gespeichert. Lediglich dann, wenn die Steuerzentrale 30 bestimmt, daß die Umschreibevorrichtung 20 eine legitimierte ist, wird die Funktion f von der Steuerzentrale 30 an die Umschreibevorrichtung 20 gesendet (B2, B3 in 2). Demgemäß ist auch dann, wenn die Umschreibevorrichtung 20 oder eine Information innerhalb der Umschreibevorrichtung 20 gestohlen wird, die Zugriffsinformation zum Zugreifen auf die ECUs 11 bis 14 nicht in der Umschreibevorrichtung 20 gespeichert. Deshalb ist es nicht möglich, die Steuerinformation der ECUs 11 bis 14 umzuschreiben, wenn es nicht möglich ist, eine Zugriffsinformation aus der Steuerzentrale 30 zu erhalten.
  • Die Steuerzentrale 30 weist eine Datenbank auf, in welcher eine Kennungsinformation, die eindeutig der Umschreibevorrichtung 20 zugewiesen ist, und eine Telefonnummer der Seite der Umschreibevorrichtung 20, wenn eine Datenkommunikation über eine Telefonleitung auszuführen ist, im Zusammenhang gespeichert sind. Sie erfaßt eine Kennungsinformation von der Umschreibevorrichtung 20 und erfaßt die Telefonnummer, von welcher der Anruf durchgeführt wird (S850 in 7). Wenn die Zugehörigkeitsbeziehung zwischen dieser Kennung und der Telefonnummer mit der Zugehörigkeitsbeziehung übereinstimmt, die in der Datenbank gespeichert ist (S860, S870: JA), bestimmt die Steuereinrichtung 30, daß die Umschreibevorrichtung 20 legitimiert ist und sendet die Funktion f, welche eine Zugriffsinformation ist (S890). Wenn zum Beispiel eine Leitung zwischen der Umschreibevorrichtung 20 und der Steuerzentrale 30 von woanders als einer regulären Arbeitsstelle verbunden ist, ist die Telefonnummer, die die Steuerzentrale 30 erfaßt, nicht mehr die vorab entschiedene Telefonnummer. Folglich entspricht sie nicht der Kennungsinformation und kann die Zugriffsinformation nicht von der Steuerzentrale 30 erhalten werden. Als Ergebnis ist es nicht möglich, die Steuerinformation in den ECUs 11 bis 14 umzuschreiben.
  • Wie es vorstehend beschrieben worden ist, kann mit dem Steuerinformations-Umschreibesystem 1 dieses Ausführungsbeispiels auch dann, wenn die Umschreibevorrichtung 20 oder eine Information innerhalb der Umschreibevorrichtung 20 gestohlen wird, sicher verhindert werden, daß eine Steuerinformation der ECUs 11 bis 14 ungebührlich umgeschrieben wird.
  • Mit den Steuerinformations-Umschreibesystem 1 dieses Ausführungsbeispiels bestimmt die Steuerzentrale 30 zuerst die Legitimität der Umschreibevorrichtung 20 und bestimmen dann die ECUs 11 bis 14 die Legitimität der Umschreibevorrichtung 20. Wenn in irgendeiner dieser Überprüfungen von zwei Stufen dreimal in Folge bestimmt wird, daß die Umschreibevorrichtung 20 nicht legitimiert ist, wird eine 10minütige Zugriffsverweigerung ausgeführt.
  • Das heißt, in den ECUs 11 bis 14 wird, wenn bestimmt wird, daß die Umschreibevorrichtung 20 nicht legitimiert ist (S380: NEIN in 4), die Variable C1 erhöht (S410). Wenn die Variable C1 größer als 2 wird (S330: NEIN in 3), das heißt wenn eine Bestimmung einer fehlenden Legitimation dreimal in Folge durchgeführt wird, wird ein Zugriffsverweigerungszeitgeber eingestellt (S340). Daher wird ein Zugriff der Umschreibevorrichtung 20 verweigert (S310: NEIN), bis der Zeitgeber 0 wird.
  • Indessen wird in ähnlicher Weise ebenso in der Steuerzentrale 30, wenn bestimmt wird, daß die Umschreibevorrichtung 20 nicht legitimiert ist (S870: NEIN in 7), die Variable C2 inkrementiert (S880). Wenn die Variable C2 größer als 2 wird (S820: NEIN), das heißt wenn eine Bestimmung einer fehlenden Legitimation dreimal in Folge durchgeführt wird, wird ein Zugriffsverweigerungszeitgeber eingestellt (S830). Somit wird ein Zugriff der Umschreibevorrichtung 20 verweigert (5800: NEIN), bis der Zeitgeber 0 wird.
  • Als Ergebnis kann auch dann, wenn ein Versuch gemacht wird, auf die Steuerzentrale 30 oder die ECUs 11 bis 14 von der Umschreibevorrichtung 20 unter Verwendung einer nicht legitimierten Information zuzugreifen, die Steuerinformationsumschreibeverhinderung verhindert werden. Dies liegt daran, daß es aus dem Grund, daß ein Zugriff für zehn Minuten unmöglich wird, wenn ein nicht legitimierter Zugriff dreimal in Folge ausgeführt wird, nicht möglich ist, viele Male in Folge zuzugreifen.
  • In diesem Ausführungsbeispiel speichert die Steuerzentrale 30 Änderungsdaten einer Steuerinformation. Das heißt, es gibt auch dann, wenn die Umschreibevorrichtung 20 oder eine Information innerhalb der Umschreibevorrichtung 20 gestohlen werden, keine Möglichkeit, daß Änderungsdaten nach außen gelangen, da Änderungsdaten nicht wie in der Vergangenheit in der Umschreibevorrichtung 20 gespeichert werden.
  • Die Steuerzentrale 30 sendet Änderungsdaten (S950) mit einem zweiten Erlaubnissignal von den ECUs 11 bis 14, das an sie als eine Bedingung gesendet worden ist (S910: NEIN). Das heißt, sie sendet Änderungsdaten, wobei als eine Bedingung von den ECUs 11 bis 14 bestimmt worden ist, daß die Umschreibevorrichtung 20 legitimiert ist. Deshalb kann die Möglichkeit, daß Änderungsdaten nach außen gelangen, weiter verringert werden.
  • Wenn die ECUs 11 bis 14 bestimmen, daß die Umschreibevorrichtung 20 legitimiert ist (S380: JA in 4), senden sie zusätzlich zu dem zweiten Erlaubnissignal einen Fahrzeug-VIN-Code, mit welchem es möglich ist, das Fahrzeug 10 zu bestimmen (S390). Die Steuerzentrale 30 weist eine Datenbank von Aktualisierungshistorien von Steuerinformationen auf, die in den ECUs 11 bis 14 von unterschiedlichen Fahrzeugen 10 gespeichert sind, und sie unterscheidet auf der Grundlage des zuvor erwähnten Fahrzeug-VIN-Codes aus den ECUs 11 bis 14 das Fahrzeug 10 und nimmt auf die Datenbank (S920 in 8) Bezug und bestimmt die Notwendigkeit eines Steuerinformationsumschreibens (S930). Dann sendet sie, wenn es eine Notwendigkeit eines Umschreibens gibt (S930: JA), die Änderungsdaten (S950).
  • In diesem Ausführungsbeispiel wird kein vergebliches Umschreiben einer Steuerinformation ausgeführt, da die Steuerzentrale 30 die Steuerinformations-Aktualisierungshistorien von Fahrzeugen 10 verwaltet. Als Ergebnis ist keine vergebliche Arbeitszeit erforderlich und es geschieht nicht, daß ein erforderliches Umschreiben aufgrund eines vergeblichen Umschreibens unmöglich wird.
  • In der Steuerzentrale 30 wird die Steuerinformations-Aktualisierungshistoriendatenbank automatisch aktualisiert (S980), wenn eine normale Beendigung eines Umschreibens von den ECUs 11 bis 14 über die Umschreibevorrichtung 20 gemeldet wird (S970: JA in 8). Daher gibt es keine Notwendigkeit, daß ein Bediener die Datenbank durch eine manuelle Betätigung aktualisieren muß.
  • In der Umschreibevorrichtung 20 wird, wenn die Funktion f, die eine Zugriffsinformation bildet, nicht mehr erforderlich ist (S650: NEIN, S690: JA in 6) , diese Funktion f, die eine Zugriffsinformation bildet, schnell gelöscht (S660, S700). Aufgrund dessen kann die Möglichkeit, daß die Funktion f, die als eine Zugriffsinformation dient, die von der Steuerzentrale 30 an die Umschreibevorrichtung 20 gesendet wird, aus der Umschreibevorrichtung 20 gestohlen wird, verringert werden.
  • Diese Erfindung ist in keiner Weise auf das offenbarte Ausführungsbeispiel beschränkt, sondern kann wie folgt auf verschiedene Weisen realisiert werden, ohne den Umfang der Erfindung zu verlassen.
  • (1) Die Steuerzentrale 30 kann eine Datenbank aufweisen, in welcher eine Kennungsinformation von Umschreibevorrichtungen 20 und Paßwörter in Zusammenhang gebracht werden, und die Umschreibevorrichtung 20 kann ein Paßwort, das von einem Bediener eingegeben wird, zusammen mit der Kennungsinformation senden. In diesem Fall entspricht das Paßwort einer zugehörigen Information und bestimmt die Steuerzentrale 30 die Legitimität der Umschreibevorrichtung 20 auf der Grundlage der Entsprechung zwischen der Kennungsinformation und dem Paßwort, das von der Umschreibevorrichtung 20 gesendet wird.
  • Die Kennungsinformation kann ebenso auf die gleiche Weise wie das Paßwort von einem Benutzer eingegeben werden. Wenn dies durchgeführt wird, ist es auch dann, wenn die Umschreibevorrichtung 20 oder eine Information innerhalb der Umschreibevorrichtung 20 gestohlen wird, unmöglich, eine Zugriffsinformation aus der Steuerzentrale 30 zu erhalten, und ist es möglich, das ungehörige Umschreiben einer Steuerinformation auf die gleiche Weise wie in dem Ausführungsbeispiel, das zuvor beschrieben worden ist, zu verhindern, da das Paßwort oder die Kennungsinformation und das Paßwort nicht bekannt sind.
  • Jedoch ist es, da es ebenso eine Möglichkeit gibt, daß die Kennungsinformation oder das Paßwort auf einen anderen Weg gestohlen wird, bevorzugt, eine Telefonnummer, die mit dem Installationsort der Umschreibevorrichtung 20 verbunden ist, wie in dem vorhergehend beschriebenen Ausführungsbeispiel zu der zugehörigen Information zu machen. Dies ist so, da ein ungehöriges Umschreiben nicht an einer regulären Arbeitsstelle ausgeführt werden kann.
  • (2) Es ist vorstellbar, daß die Datenkommunikation zwischen der Steuerzentrale 30 und der Umschreibevorrichtung 20 vorübergehend beendet wird, nachdem die Umschreibevorrichtung 20 die Zugriffsinformation von der Steuerzentrale 30 erfaßt hat. Zum Beispiel ist es vorstellbar, daß die Datenkommunikation vorübergehend beendet wird, nachdem die Datenkommunikation von B1 bis B4 in 2 beendet ist, und ein Zustand einer möglichen Datenkommunikation zwischen der Umschreibevorrichtung 20 und der Steuerzentrale 30 erneut gebildet wird, wenn die Verarbeitung von B11 fortschreitend ausgeführt wird.
  • Jedoch gibt es eine Möglichkeit, daß eine Zugriffsinformation, die von der Umschreibevorrichtung 20 gesendet wird, gestohlen wird und auf die ECUs 11 bis 14 unter Verwendung dieser Zugriffsinformation und unter Verwendung einer anderen Umschreibevorrichtung zugegriffen wird.
  • Deshalb ist es vorteilhaft, wenn die Steuerzentrale 30 und die Umschreibevorrichtung 20, die sich in einem Zustand der möglichen Datenkommunikation befinden, zu einem Zustand eines Umschreibens gemacht werden, bis die Kette einer Umschreibeverarbeitung (die Verarbeitung von B1 bis B18, die in 2 gezeigt ist) endet.
  • Insbesondere könnte die folgende Art eines Aufbaus angewendet werden. Das heißt, die Umschreibevorrichtung 20 kann regelmäßig eine Reaktionanforderung auf der Grundlage einer Zeitgeberunterbrechungsverarbeitung oder dergleichen an die Steuerzentrale 30 senden, und die Steuerzentrale 30 kann eine Reaktion durchführen. Zu diesem Zeitpunkt führt die Umschreibevorrichtung 20 kein Umschreiben der ECUs 11 bis 14 durch, wenn eine Reaktion von der Steuerzentrale 30 unterbleibt, bevor die Kette einer Umschreibeverarbeitung beendet ist. Wenn dies durchgeführt wird, wird es unmöglich, von einer unterschiedlichen Umschreibevorrichtung aus unter Verwendung einer gestohlenen Zugriffsinformation auf eine ECU zuzugreifen.
  • (3) In dem Fall, in dem Steuerprogramme, die in der ECU 11 gespeichert sind, aus irgendeinem Grund gestört werden, sollte die Verarbeitung, die in 2 gezeigt ist, derart abgeändert werden, daß derartige Steuerprogramme umgeschrieben werden können.
  • In diesem Fall liest die ECU 11 nach einem Ausführen von B1 bis B9 in 2 eine Prüfsumme von seinem Steuerprogramm aus und sendet sie zusammen mit dem zweiten Erlaubnissignal und dem VIN-Code an die Umschreibevorrichtung 20 (B10). Die Umschreibevorrichtung 20 sendet eine derartige empfangene Information an die Steuerzentrale 30 (B11). Die Steuerzentrale 30 bestimmt auf der Grundlage des Vergleichs des VIN-Codes und der Prüfsumme zwischen dem empfangenen und dem vorab gespeicherten, ob es notwendig ist, das Steuerprogramm umzuschreiben (B12). Genauer gesagt bestimmt die Steuerzentrale 30 die Version des Steuerprogramms in der ECU 11 auf der Grundlage des empfangenen VIN-Codes und bestimmt durch Überprüfen der empfangenen Prüfsumme des Steuerprogramms, ob das Steuerprogramm normal ist. Wenn die Prüfsumme sich von dem vorab gespeicherten Wert unterscheidet ist, bestimmt sie, daß das Steuerprogramm gestört oder unterbrochen ist.
  • Wenn die Steuerzentrale 30 auf der Grundlage des VIN-Codes bestimmt, daß die Version des Steuerprogramms geändert worden ist, sendet sie die Änderungsdaten ungeachtet des Prüfsummenbestimmungsergebnisses an die Umschreibevorrichtung 20 (B13). Wenn die Steuerzentrale 30 bestimmt, daß die Version des Steuerprogramms nicht geändert worden ist, aber das Steuerprogramm gestört ist, sendet sie das ursprüngliche Steuerprogramm an die Umschreibevorrichtung 20. Daher kann das Steuerprogramm in der ECU 11 erneuert werden. Es ist natürlich möglich, Schlüsselworte oder dergleichen, die innerhalb des Steuerprogramms vorgesehen sind, anstelle eines Verwendens der Prüfsumme zum Erfassen, ob das Steuerprogramm gestört worden ist, zu verwenden.

Claims (1)

  1. Umschreibevorrichtung (20) zum Umschreiben von in einer elektronischen Steuereinheit (11–14) gespeicherten Steuerinformation während Kommunizierens mit einer externen Vorrichtung (30), wobei die Umschreibevorrichtung aufweist: eine Empfangseinrichtung (B4) zum Empfangen einer Umschreibegenehmigung von der externen Vorrichtung (30); eine Steuerinformationssendevorrichtung (B14) zum Erfassen der Steuerinformation von der externen Einrichtung (30) nach Ausführen einer vorbestimmten Verarbeitung mit der elektronischen Steuereinheit (11–14) in Reaktion auf die Umschreibegenehmigung zum Senden der Steuerinformation an die elektronische Steuereinheit (11–14); und eine Identifikationsinformationssendeeinrichtung (B1) zum Senden einer Identifikationsinformation der Umschreibevorrichtung (20) an die externe Vorrichtung (30) so, daß die externe Vorrichtung (30) die Umschreibegenehmigung sendet, wenn die Identifikationsinformation passend ist.
DE60009163T 1999-12-07 2000-12-07 Vorrichtung zur Überschreibung von Steuerinformationen Expired - Lifetime DE60009163T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP34756299 1999-12-07
JP34756299 1999-12-07

Publications (2)

Publication Number Publication Date
DE60009163D1 DE60009163D1 (de) 2004-04-22
DE60009163T2 true DE60009163T2 (de) 2005-03-17

Family

ID=18391069

Family Applications (4)

Application Number Title Priority Date Filing Date
DE60008802T Expired - Lifetime DE60008802T2 (de) 1999-12-07 2000-12-07 Steuerzentrale zur Kommunikation mit einer Vorrichtung zur Überschreibung von Steuerinformationen
DE60002422T Expired - Lifetime DE60002422T2 (de) 1999-12-07 2000-12-07 System zur Überschreibung von Steuerinformationen
DE60011820T Expired - Lifetime DE60011820T2 (de) 1999-12-07 2000-12-07 System zur Überschreibung von Steuerinformationen
DE60009163T Expired - Lifetime DE60009163T2 (de) 1999-12-07 2000-12-07 Vorrichtung zur Überschreibung von Steuerinformationen

Family Applications Before (3)

Application Number Title Priority Date Filing Date
DE60008802T Expired - Lifetime DE60008802T2 (de) 1999-12-07 2000-12-07 Steuerzentrale zur Kommunikation mit einer Vorrichtung zur Überschreibung von Steuerinformationen
DE60002422T Expired - Lifetime DE60002422T2 (de) 1999-12-07 2000-12-07 System zur Überschreibung von Steuerinformationen
DE60011820T Expired - Lifetime DE60011820T2 (de) 1999-12-07 2000-12-07 System zur Überschreibung von Steuerinformationen

Country Status (3)

Country Link
US (1) US7068147B2 (de)
EP (4) EP1253493B1 (de)
DE (4) DE60008802T2 (de)

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6539299B2 (en) * 2000-02-18 2003-03-25 Optimum Power Technology Apparatus and method for calibrating an engine management system
US7636859B2 (en) * 2001-01-04 2009-12-22 Cummins Inc. System and method for authorizing transfer of software into embedded systems
WO2003081434A1 (fr) * 2002-03-25 2003-10-02 Hitachi Construction Machinery Co., Ltd. Systeme de collecte de donnees de fonctionnement liees a l'activite d'une machine
JP2004028000A (ja) * 2002-06-27 2004-01-29 Mitsubishi Electric Corp 通信による車載ecuのメモリ書き換え装置
JP2005196568A (ja) * 2004-01-08 2005-07-21 Denso Corp 車両の部品管理方法及び装置、車両の部品管理データ更新方法及び装置、並びに車両部品管理センタ
JP2006268107A (ja) * 2005-03-22 2006-10-05 Denso Corp 電子制御装置
JP4668656B2 (ja) 2005-03-24 2011-04-13 日立オートモティブシステムズ株式会社 プログラムの書き換えシステム及びプログラムの書き換え方法
WO2006107243A1 (en) * 2005-04-04 2006-10-12 Volvo Lastvagnar Ab Arrangement and method for programming motor vehicles
JP2007011734A (ja) * 2005-06-30 2007-01-18 Denso Corp 車載制御装置
GB2434219B (en) * 2005-11-15 2010-11-24 P G Drives Technology Ltd Networked modules
JP2008059450A (ja) * 2006-09-01 2008-03-13 Denso Corp 車両情報書換えシステム
JP4720781B2 (ja) * 2007-05-07 2011-07-13 株式会社デンソー 車両制御装置のデータ書換システム
FR2923627B1 (fr) 2007-11-08 2013-08-30 Siemens Vdo Automotive Procede de deverrouillage d'un calculateur de controle moteur.
JP4557042B2 (ja) * 2008-04-23 2010-10-06 株式会社デンソー 電子制御装置、及び車両制御システム
JP4539757B2 (ja) * 2008-04-23 2010-09-08 株式会社デンソー 電子制御装置
DE102008030092A1 (de) * 2008-06-25 2009-12-31 Audi Ag Elektrisch ansteuerbare Baueinheit eines Kraftfahrzeugs und Verfahren zum Identifizieren einer elektrisch ansteuerbaren Baueinheit eines Kraftfahrzeugs
JP4722194B2 (ja) 2009-04-13 2011-07-13 本田技研工業株式会社 車両のための書き換えシステム
DE102009038035A1 (de) * 2009-08-19 2011-02-24 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur Konfiguration von Infotainmentanwendungen in einem Kraftfahrzeug
US20120117510A1 (en) * 2010-11-05 2012-05-10 Xerox Corporation System and method for automatically establishing a concurrent data connection with respect to the voice dial features of a communications device
WO2012105215A1 (ja) * 2011-01-31 2012-08-09 本田技研工業株式会社 車両用制御装置
US8972712B2 (en) * 2011-05-24 2015-03-03 Vision Works Ip Corporation Device for reprogramming an embedded system to allow the system to return to an initial embedded system information or a reprogrammed embedded system information
JP5423754B2 (ja) * 2011-09-28 2014-02-19 株式会社デンソー バス監視セキュリティ装置及びバス監視セキュリティシステム
JP5590069B2 (ja) * 2012-04-27 2014-09-17 株式会社デンソー マイクロコンピュータ
US9158926B2 (en) 2014-01-13 2015-10-13 General Electric Company Engine control unit configuration security
US10095859B2 (en) 2014-02-28 2018-10-09 Hitachi Automotive Systems, Ltd. Authentication system and car onboard control device
JP6618480B2 (ja) 2014-11-12 2019-12-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 更新管理方法、更新管理システム及び制御プログラム
JP6423096B2 (ja) * 2015-06-30 2018-11-14 日立オートモティブシステムズ株式会社 車両データ書換制御装置および車両データ書換認証システム
JP6560604B2 (ja) * 2015-12-08 2019-08-14 Kddi株式会社 管理装置、管理方法、及びプログラム
JP6190443B2 (ja) * 2015-12-28 2017-08-30 Kddi株式会社 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
CN105785977B (zh) * 2016-05-03 2018-09-11 北京新能源汽车股份有限公司 车辆的电控系统的数据存储方法及电控系统
JP6260067B1 (ja) * 2016-08-09 2018-01-17 Kddi株式会社 管理システム、鍵生成装置、車載コンピュータ、管理方法、及びコンピュータプログラム
CN109314645B (zh) 2016-08-10 2021-08-13 Kddi株式会社 数据提供系统、数据保护装置、数据提供方法以及存储介质
US10970398B2 (en) 2016-08-10 2021-04-06 Kddi Corporation Data provision system, data security device, data provision method, and computer program
JP6140874B1 (ja) * 2016-10-03 2017-05-31 Kddi株式会社 制御装置、制御方法、及びコンピュータプログラム
CN107132788A (zh) * 2017-03-30 2017-09-05 深圳市元征科技股份有限公司 一种汽车电子控制单元自动刷写方法及设备
JP6470344B2 (ja) * 2017-04-28 2019-02-13 Kddi株式会社 制御装置、制御方法、及びコンピュータプログラム
JP6454919B2 (ja) * 2017-10-10 2019-01-23 Kddi株式会社 管理システム、データ提供装置、車載コンピュータ、管理方法、及びコンピュータプログラム
JP6554704B2 (ja) * 2017-10-18 2019-08-07 Kddi株式会社 データ提供システム及びデータ提供方法
EP3546355B1 (de) * 2018-03-29 2021-07-07 Airbus Operations GmbH Flugzeugbereich mit einer textilanzeige, und ein flugzeug mit einem solchen flugzeugbereich
US11560240B2 (en) 2018-03-29 2023-01-24 Airbus Operations Gmbh Aircraft area having a textile display, aircraft passenger seat having a textile display, and aircraft including an aircraft area
US11163549B2 (en) 2018-08-10 2021-11-02 Denso Corporation Vehicle information communication system
WO2020032196A1 (ja) 2018-08-10 2020-02-13 株式会社デンソー 車両情報通信システム
JP7111074B2 (ja) * 2018-08-10 2022-08-02 株式会社デンソー 車両用マスタ装置、セキュリティアクセス鍵の管理方法、セキュリティアクセス鍵の管理プログラム及び車両用電子制御システム
US11579865B2 (en) 2018-08-10 2023-02-14 Denso Corporation Vehicle information communication system
JP7031643B2 (ja) * 2018-08-10 2022-03-08 株式会社デンソー 車両情報通信システム
WO2020032121A1 (ja) * 2018-08-10 2020-02-13 株式会社デンソー 車両用マスタ装置、更新データの検証方法及び更新データの検証プログラム
JP7003976B2 (ja) * 2018-08-10 2022-01-21 株式会社デンソー 車両用マスタ装置、更新データの検証方法及び更新データの検証プログラム
US11356425B2 (en) 2018-11-30 2022-06-07 Paccar Inc Techniques for improving security of encrypted vehicle software updates
US11449327B2 (en) 2018-11-30 2022-09-20 Paccar Inc Error-resilient over-the-air software updates for vehicles

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3410082A1 (de) * 1984-03-20 1985-09-26 Robert Bosch Gmbh, 7000 Stuttgart Steuergeraet fuer kraftfahrzeuge
US4947163A (en) * 1985-10-16 1990-08-07 Supra Products, Inc. Electronic security system with configurable key
JPH081605B2 (ja) 1986-04-16 1996-01-10 富士重工業株式会社 車両用電子制御装置
US4979170A (en) * 1988-01-19 1990-12-18 Qualcomm, Inc. Alternating sequential half duplex communication system
CA2000139A1 (en) 1988-10-04 1990-04-04 Wyn Y. Nielsen Distributed multiple irrigation controller management system
JP2830302B2 (ja) 1990-02-15 1998-12-02 株式会社デンソー 自動車用制御装置
GB9019423D0 (en) * 1990-09-06 1990-10-24 Gen Motors Luxembourg Operatio Electronic controller for vehicle
US5278759A (en) * 1991-05-07 1994-01-11 Chrysler Corporation System and method for reprogramming vehicle computers
JPH0516744A (ja) 1991-07-17 1993-01-26 Fuji Heavy Ind Ltd 車輌用電子制御システムの情報入出力方法
DK0618531T3 (da) * 1993-03-31 2001-01-08 Siemens Ag Fremgangsmåde og indretning til ny- eller genindlæsning af processorstyreprogrammer
JPH06328984A (ja) 1993-05-19 1994-11-29 Mazda Motor Corp 車両の制御ゲイン変更装置
US5541840A (en) * 1993-06-25 1996-07-30 Chrysler Corporation Hand held automotive diagnostic service tool
JPH0777101A (ja) 1993-09-03 1995-03-20 Matsushita Electric Ind Co Ltd 車載用電子制御装置
DE4440127B4 (de) * 1994-11-10 2007-11-08 Robert Bosch Gmbh Steuergerät
WO1996027513A1 (en) * 1995-03-03 1996-09-12 Qualcomm Incorporated Method and apparatus for monitoring parameters of vehicle electronic control units
US5594227A (en) * 1995-03-28 1997-01-14 Microsoft Corporation System and method for protecting unauthorized access to data contents
DE19532067C1 (de) * 1995-08-31 1996-10-24 Daimler Benz Ag Verfahren und Einrichtung zur Einprogrammierung von Betriebsdaten in Fahrzeugbauteile
US6127939A (en) * 1996-10-14 2000-10-03 Vehicle Enhancement Systems, Inc. Systems and methods for monitoring and controlling tractor/trailer vehicle systems
US5787367A (en) * 1996-07-03 1998-07-28 Chrysler Corporation Flash reprogramming security for vehicle computer
US6529124B2 (en) * 1996-08-22 2003-03-04 Omega Patents, L.L.C. Remote vehicle function control system using data bus adaptor cartridge and associated methods
DE19634341A1 (de) 1996-08-24 1998-02-26 Bosch Gmbh Robert Verfahren zum Schutz von speicherprogrammierten Steuerungen vor einem Überschreiben
JPH11175331A (ja) 1997-12-15 1999-07-02 Denso Corp 車両用lanシステムにおけるromの書換方法及び車載制御装置
JP3846045B2 (ja) * 1998-07-15 2006-11-15 株式会社デンソー 車両用盗難防止システム
JP2000335371A (ja) * 1999-05-26 2000-12-05 Denso Corp 電子制御装置及び記録媒体

Also Published As

Publication number Publication date
EP1255176A1 (de) 2002-11-06
DE60002422T2 (de) 2004-02-26
EP1109085B1 (de) 2003-05-02
DE60011820D1 (de) 2004-07-29
EP1256859A8 (de) 2003-04-02
EP1253493B1 (de) 2004-06-23
EP1253493A1 (de) 2002-10-30
EP1255176B1 (de) 2004-03-17
US20010002814A1 (en) 2001-06-07
EP1109085A3 (de) 2001-07-18
DE60008802D1 (de) 2004-04-08
EP1109085A2 (de) 2001-06-20
EP1256859A1 (de) 2002-11-13
DE60008802T2 (de) 2005-02-17
US7068147B2 (en) 2006-06-27
DE60011820T2 (de) 2005-07-07
DE60002422D1 (de) 2003-06-05
DE60009163D1 (de) 2004-04-22
EP1256859B1 (de) 2004-03-03

Similar Documents

Publication Publication Date Title
DE60009163T2 (de) Vorrichtung zur Überschreibung von Steuerinformationen
DE60316585T2 (de) Verfahren und system zum aufrechterhalten eines zeitlichen konfigurationsverlaufs eines fahrzeugs
DE19532067C1 (de) Verfahren und Einrichtung zur Einprogrammierung von Betriebsdaten in Fahrzeugbauteile
DE112012002836B4 (de) Fahrzeugbasiertes Netzwerksystem
DE102017125826A1 (de) Nachrichtenauthentifizierung über controller area network
DE60308601T2 (de) Verfahren und System zur Authentifizierung von Kommunikationsendgeräten
DE102013003040B4 (de) Kraftfahrzeug mit nachträglich per Anwendungsprogramm veränderbarem Fahrverhalten sowie Verfahren hierzu
DE10230351A1 (de) Fahrzeugrelaisvorrichtung, fahrzeuginternes Kommunikationssystem, Störungsdiagnosesystem, Fahrzeugsteuervorrichtung, Servervorrichtung und Erfassungs/Diagnoseprogramm
DE10008974A1 (de) Signaturverfahren
DE112007001608T5 (de) Kontrolle von Flottenfahrzeugen mit üblichen Transmittern
DE10247221A1 (de) System und Verfahren zur ferngesteuerten Modifikation von Programmen einer Maschine
DE112012003795T5 (de) Fahrzeugnetwerksystem und Fahrzeug-Informationsverarbeitungsverfahren
DE102007022100A1 (de) Kraftfahrzeugsteuergerätedatenübertragungssystem und -verfahren
DE112014006708T5 (de) Gerätsteuerungssystem, Gerätsteuerungseinrichtung, Gerätsteuerungsverfahren und Programm
DE60212969T2 (de) Verfahren und vorrichtung zum verfolgen des status eines betriebsmittels in einem system zur verwaltung der benutzung der betriebsmittel
EP3422628B1 (de) Verfahren, sicherheitseinrichtung und sicherheitssystem
CH705781A1 (de) Benutzerrechteverwaltung und Zugangskontrollsystem mit Zeitbeschränkung.
DE102023110645A1 (de) Sicherheitsverfahren und Sicherheitsvorrichtung
DE112019005981T5 (de) Fahrerassistenzsystem und Fahrerassistenzverfahren
EP2618226B1 (de) Industrielles Automatisierungssystem und Verfahren zu dessen Absicherung
EP3762845B1 (de) Projektbezogenes zertifikatsmanagement
WO2013041360A1 (de) System und verfahren zur bereitstellung eines steuerungsprogrammcodes
DE102016218988A1 (de) Kommunikationssystem
EP1529257B1 (de) Übernehmen eines datensatzes in eine recheneinheit
EP1035706A2 (de) Verfahren zum Verbinden von mindestens zwei Netzwerkssegmenten eines Netzwerkes mit einer Zugangskontrolle durch eine Benutzerkennung

Legal Events

Date Code Title Description
8332 No legal effect for de
8370 Indication of lapse of patent is to be deleted
8364 No opposition during term of opposition
8320 Willingness to grant licences declared (paragraph 23)